/Aristotl

Verwerkersovereenkomst

Versie: v1.02ā€¢Laatst bijgewerkt: 31 december 2025

Tussen de Klant (zoals hieronder gedefinieerd) en Aristotl Inwerkingtredingsdatum: datum van elektronische aanvaarding door de Klant

Aanvaarding en bindend karakter

Deze DPA vormt een onderdeel van de Overeenkomst. Door het aanklikken van "I agree to the Privacy Policy, Terms of Service and DPA" (of gelijkwaardig) verklaart de persoon die aanvaardt dat hij/zij bevoegd is om de Klant te binden en aanvaardt de Klant deze DPA. De Klant kan deze DPA opslaan en reproduceren.

1. Partijen

Dit Data Processing Agreement ("DPA") is van toepassing tussen:

  • Klant / Verwerkingsverantwoordelijke: de rechtspersoon die de Diensten gebruikt, zoals geĆÆdentificeerd via het account en/of de bestelbon.
  • Aristotl / Verwerker: Aristotl, Entrepotkaai 2/802, 2000 Antwerpen, ondernemingsnummer 1018.326.784.

De Klant en Aristotl worden hierna samen aangeduid als de ā€œPartijenā€.

2. Doel van de Overeenkomst

De Partijen erkennen dat deze DPA vereist is om de voorwaarden van de verwerking van persoonsgegevens door Aristotl, in zijn hoedanigheid van Verwerker, in overeenstemming met de General Data Protection Regulation (GDPR) artikel 28 en aanwervante toepasselijke privaciwetgeving, vast te leggen. Deze DPA regelt hoe Aristotl persoonsgegevens verwerkt namens de Klant, en stelt waarborgen voor de bescherming van deze gegevens.

3. Definities

  • Persoonsgegevens: Alle informatie die betrekking heeft op een geĆÆdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4 van de GDPR.
  • Verwerkingsverantwoordelijke: De partij die de doeleinden en middelen van de verwerking van persoonsgegevens vaststelt (in dit geval de Klant).
  • Verwerker: De partij die persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke (in dit geval Aristotl).
  • Subverwerker: Een andere partij die door Aristotl wordt ingeschakeld om bepaalde verwerkingstaken uit te voeren, zoals beschreven in artikel 28 van de GDPR.
  • Verwerkingsdoeleinden: De doeleinden waarvoor persoonsgegevens door de Verwerker worden verwerkt, zoals gespecificeerd in deze overeenkomst en de bijbehorende diensten.
  • Overeenkomst: de contractuele relatie tussen de Klant en Aristotl voor het gebruik van de Diensten, bestaande uit (i) de Terms of Service, (ii) eventuele bestelbon/offerte/abonnement, en (iii) de toepasselijke documentatie. Bij tegenstrijdigheid met betrekking tot gegevensbescherming primeert deze DPA.
  • Diensten: het Aristotl-platform en alle daarmee samenhangende diensten geleverd aan de Klant.
  • Gedocumenteerde Instructies: schriftelijke of aantoonbaar gedocumenteerde instructies van de Klant aan Aristotl met betrekking tot de verwerking van Persoonsgegevens, waaronder configuraties en handelingen die de Klant in de Diensten uitvoert.
  • Bijlagen: de bijlagen bij deze DPA, met inbegrip van (minstens) Bijlage 1 (Beschrijving van de Verwerking) en Bijlage 2 (Technische en Organisatorische Maatregelen).

4. Onderwerp van de Verwerking

Aristotl verwerkt Persoonsgegevens namens de Klant voor de uitvoering van de Diensten onder de Overeenkomst en uitsluitend in overeenstemming met de Gedocumenteerde Instructies van de Klant, zoals nader omschreven in Bijlage 1.

De verwerking omvat, voor zover relevant:

  • levering, hosting en werking van het platform,
  • beveiliging, monitoring en fraudepreventie,
  • ondersteuning en onderhoud, en
  • verbeteringen en bugfixing van de Diensten (voor zover dit Persoonsgegevens vereist en binnen de instructies van de Klant).

5. Soorten Persoonsgegevens

De categorieƫn Persoonsgegevens die Aristotl kan verwerken hangen af van (i) de Diensten die de Klant afneemt en (ii) de Persoonsgegevens die de Klant (of diens eindgebruikers) via de Diensten aanlevert of laat aanleveren. Dit kan onder meer omvatten:

  • Identificerende gegevens: naam, e-mailadres, telefoonnummer, functie, bedrijfsinformatie van gebruikers;
  • Technische gegevens: IP-adres, login- en loggegevens, apparaat- en browserinformatie;
  • Gebruiksgegevens: gegevens over gebruik van de Diensten (bv. gebruikspatronen, instellingen, voorkeuren);
  • Inhoud/data die de Klant uploadt of laat uploaden via de Diensten, voor zover deze Persoonsgegevens bevat.

De categorieƫn betrokkenen en de aard/doeleinden van de verwerking zijn nader beschreven in Bijlage 1.

6. Instructies en verantwoordelijkheid voor rechtsgrond

Aristotl verwerkt Persoonsgegevens uitsluitend op basis van Gedocumenteerde Instructies van de Klant, tenzij Aristotl op grond van EU- of Belgisch recht verplicht is anders te handelen; in dat geval informeert Aristotl de Klant voorafgaand aan de verwerking, tenzij die wetgeving dit om gewichtige redenen van algemeen belang verbiedt.

De Klant is als Verwerkingsverantwoordelijke verantwoordelijk voor:

  • de rechtsgrond(en) voor de verwerking,
  • het informeren van betrokkenen (transparantie),
  • het waarborgen van de juistheid, relevantie en minimalisatie van de Persoonsgegevens, en
  • de rechtmatigheid van de instructies die zij aan Aristotl geeft.

Indien Aristotl van oordeel is dat een instructie van de Klant strijdig is met de GDPR of andere toepasselijke privacywetgeving, zal Aristotl de Klant daarvan onverwijld in kennis stellen.

7. Duur van de Verwerking

De verwerking van persoonsgegevens zal plaatsvinden gedurende de looptijd van de overeenkomst en voor de duur van de bijbehorende diensten, of zolang de Verwerkingsverantwoordelijke de persoonsgegevens nodig heeft voor de doeleinden van de verwerking. Na beƫindiging van de diensten zal de Verwerker de persoonsgegevens op verzoek van de Verwerkingsverantwoordelijke of op eigen initiatief vernietigen of teruggeven, tenzij anders vereist door de wet.

8. Verantwoordelijkheden van de Verwerker

De Verwerker zal:

  • Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke (tenzij een andere verplichting wettelijk vereist is).
  • Zorgen voor de implementatie van passende technische en organisatorische maatregelen om de veiligheid van de persoonsgegevens te waarborgen, zoals vereist door artikel 32 van de GDPR.
  • Zorgen voor de geheimhouding van de persoonsgegevens door medewerkers en onderaannemers die toegang hebben tot deze gegevens.
  • Assisteren bij de uitvoering van de rechten van de betrokkene (zoals recht op inzage, correctie, verwijdering en overdracht) en het naleven van de verplichtingen van de Verwerkingsverantwoordelijke op verzoek.

9. Subverwerkers

De Klant verleent Aristotl een algemene schriftelijke machtiging om subverwerkers in te schakelen voor de verwerking van Persoonsgegevens, voor zover dit nodig is voor de levering van de Diensten. Aristotl houdt een actuele lijst van subverwerkers ter beschikking (de ā€œSubverwerkerlijstā€) via haar website of klantenportaal. Aristotl zal de Klant vooraf informeren over elke beoogde wijziging inzake toevoeging of vervanging van subverwerkers. De Klant heeft het recht om binnen dertig (30) dagen na kennisgeving gemotiveerd bezwaar te maken tegen een nieuwe subverwerker. In dat geval zullen Partijen te goeder trouw overleggen om (i) een redelijk alternatief te voorzien of (ii) indien geen alternatief mogelijk is, de Klant toe te laten de betrokken Dienst te beĆ«indigen met pro rata terugbetaling van vooruitbetaalde, ongebruikte vergoedingen voor die Dienst (voor zover van toepassing). Aristotl sluit met elke subverwerker een schriftelijke overeenkomst die minstens dezelfde gegevensbeschermingsverplichtingen oplegt als deze DPA, in het bijzonder inzake vertrouwelijkheid, beveiliging en bijstand.

10. Beveiliging van Persoonsgegevens

Aristotl neemt passende technische en organisatorische maatregelen (ā€œTOMsā€) om Persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en doeleinden van de verwerking, zoals vereist onder artikel 32 GDPR. De door Aristotl toegepaste TOMs zijn beschreven in Bijlage 2. Aristotl kan deze TOMs bijwerken om de beveiliging te verbeteren, op voorwaarde dat het beschermingsniveau niet wezenlijk wordt verlaagd.

11. Meldingen van Datalekken

De Verwerker zal de Verwerkingsverantwoordelijke onverwijld informeren over elke inbreuk op de beveiliging die leidt tot verlies of onrechtmatige verwerking van persoonsgegevens ("datalek"). De melding zal plaatsvinden zonder onredelijke vertraging en zal de Verwerkingsverantwoordelijke voorzien van de nodige informatie om te voldoen aan meldingsvereisten onder de GDPR.

12. Rechten van de Betrokkenen

De Verwerker zal de Verwerkingsverantwoordelijke helpen bij het naleven van zijn verplichtingen met betrekking tot de rechten van betrokkenen, waaronder:

  • Het recht op toegang tot persoonsgegevens.
  • Het recht om persoonsgegevens te corrigeren of te verwijderen.
  • Het recht om bezwaar te maken tegen de verwerking.
  • Het recht op beperking van de verwerking.

13. Audit en Controle

Op schriftelijk verzoek van de Klant zal Aristotl redelijke informatie ter beschikking stellen die noodzakelijk is om naleving van deze DPA aan te tonen (bijvoorbeeld beleidsdocumenten, samenvattingen van beveiligingsmaatregelen en/of relevante attesteringen), voor zover dit geen onevenredige belasting vormt en zonder prijsgeving van vertrouwelijke informatie van Aristotl of derden. Indien de Klant een audit ter plaatse wenst, is dit uitsluitend toegestaan (i) bij een gegronde reden gerelateerd aan gegevensbescherming, (ii) maximaal ƩƩnmaal per kalenderjaar, (iii) mits minstens dertig (30) dagen voorafgaande schriftelijke kennisgeving, (iv) tijdens normale kantooruren, (v) op een wijze die de bedrijfsvoering van Aristotl niet onredelijk verstoort, en (vi) onder een passende geheimhoudingsovereenkomst. De kosten van de audit zijn ten laste van de Klant, tenzij de audit een materiƫle niet-naleving van deze DPA door Aristotl aantoont.

14. Beƫindiging van de Overeenkomst

Na beƫindiging van de overeenkomst zal de Verwerker alle persoonsgegevens die onder deze DPA vallen, vernietigen of teruggeven aan de Verwerkingsverantwoordelijke, tenzij anders vereist door de wet. De Verwerker zal de Verwerkingsverantwoordelijke bevestigen dat de gegevens zijn verwijderd.

15. Toepasselijk Recht en Jurisdictie

Deze DPA valt onder de wetgeving van Belgiƫ, en eventuele geschillen zullen worden voorgelegd aan de bevoegde rechtbanken van Antwerpen.

16. Slotbepalingen

Deze DPA vormt de volledige overeenkomst tussen Partijen met betrekking tot de verwerking van Persoonsgegevens in het kader van de Diensten en vervangt alle eerdere afspraken hierover. Aristotl kan deze DPA van tijd tot tijd aanpassen (bijvoorbeeld bij wijzigingen in wetgeving, Diensten of subverwerkers), mits (i) de Klant vooraf wordt geĆÆnformeerd via het platform, per e-mail of via een andere redelijke kennisgeving en (ii) de Klant de bijgewerkte DPA kan opslaan en reproduceren. Tenzij anders vermeld, treedt een bijgewerkte DPA in werking op de datum vermeld in de kennisgeving. Indien de Klant de Diensten blijft gebruiken na die datum, geldt dit als aanvaarding. Indien een wijziging de rechten of verplichtingen van de Klant materieel nadelig wijzigt, kan de Klant de Overeenkomst beĆ«indigen binnen dertig (30) dagen na kennisgeving.

Elektronische aanvaarding

Deze DPA wordt rechtsgeldig elektronisch aanvaard. Aristotl houdt een bewijs bij van de aanvaarding (datum/tijdstip en identificatie van de aanvaardende account/gebruiker) en stelt dit op verzoek ter beschikking, voor zover redelijk en in overeenstemming met toepasselijk recht.

BIJLAGE 1 ā€“ Beschrijving van de Verwerking

Onderwerp: levering van het Aristotl-platform en aanverwante Diensten.

Duur: gedurende de looptijd van de Overeenkomst, en nadien gedurende een beperkte technische retentie/back-upperiode (indien van toepassing), conform artikel 14.

Aard van de verwerking: verzamelen, opslaan, raadplegen, gebruiken, doorsturen (voor zover nodig), beveiligen en verwijderen van Persoonsgegevens in het kader van de Diensten en support.

Doeleinden: (i) leveren en onderhouden van de Diensten, (ii) accountbeheer, (iii) klantenondersteuning, (iv) beveiliging/monitoring en incidentpreventie, (v) naleving van wettelijke verplichtingen.

Categorieƫn betrokkenen: gebruikers van de Klant (werknemers/contractanten) en, afhankelijk van het gebruik door de Klant, eindklanten/relaties van de Klant.

Categorieƫn Persoonsgegevens: identificatie- en contactgegevens, technische/loggegevens, gebruiksgegevens en inhoud die de Klant via de Diensten aanlevert (voor zover deze Persoonsgegevens bevat).

Bijzondere categorieƫn: de Diensten zijn niet bedoeld voor verwerking van bijzondere categorieƫn persoonsgegevens, tenzij de Klant dit uitdrukkelijk initieert en passende aanvullende waarborgen toepast.

BIJLAGE 2 ā€“ Technische en Organisatorische Maatregelen (TOMs)

Aristotl hanteert o.a. de volgende maatregelen (niet-limitatief):

  • Toegangsbeheer: least privilege, rolgebaseerde toegang, sterke authenticatie voor beheerders waar mogelijk;
  • Logging & monitoring: loggen van relevante systeem- en toegangsevents en bewaking op incidenten;
  • Encryptie: versleuteling van datatransport (in transit) en passende bescherming van secrets/credentials;
  • Back-ups & herstel: periodieke back-ups en procedures voor hersteltests waar passend;
  • Incident management: procedures voor detectie, respons en melding van beveiligingsincidenten;
  • Beveiligingsonderhoud: patching/vulnerability management en periodieke evaluatie van maatregelen;
  • Vertrouwelijkheid: medewerkers/contractanten met toegang zijn gebonden door vertrouwelijkheidsverplichtingen.